国内某品牌家用路由器再曝安全漏洞，用户或成“诈骗犯”！

据悉，恶意软件作者劫持某款易受攻击路由器上的DNS设置，将用户重新定向至托管Android恶意软件的网站。

Canthink网络安全攻防实验室的遥测数据显示：在2018年2月9日至4月9日期间，黑客劫持了来自150个唯一IP地址的流量，并将用户重新定向到恶意网站，进行了大约6000次的小规模攻击。

虽然无法确定这些黑客是如何通过访问家庭路由器来更改DNS设置的，但Canthink安全研究员获得了这些攻击中使用的Android恶意软件样本，并将其命名为“Roaming Mantis （漫游螳螂）。

将恶意软件隐藏在克隆页面中

据悉，黑客将用户重新定向到含有安卓 app 的Google Chrome安卓版（chrome.apk） 和Facebook（facebook.apk）等克隆版本的页面。这两个站点都托管虚假的app，而这些虚假应用程序使用了过多的权限，使得攻击者获得访问用户手机的全部权限，其主要目的是覆盖各种应用程序之上的登录屏幕。

Roaming Mantis 覆盖屏幕

Canthink研究人员称，该恶意软件遭到硬编码，主要针对来自韩国的流行游戏和手机银行应用。此外，Roaming Mantis 似乎是一款信息窃取器，它的源代码中并未包含任何试图从用户账户中盗取资金的代码，不过还应注意到：被盗信用卡可用于实施线下诈骗。

路由器备受恶意软件作者的青睐

尽管Roaming Mantis的源代码与普通Android恶意软件没有什么不同，但它劫持家庭路由器上DNS设置的方法在此领域尚属首次。使用受损路由器传播恶意软件这一方式与近来趋势非常符合：被黑客入侵的路由器已成为物联网僵尸网络、代理网络和网络间谍组织最喜欢的游戏场。